观韬视点 | 第一案之后:人脸到生物识别信息分几步?人脸照片法律性质判断
作者 | 上海办公室 王渝伟 李思筱
引言:
国内第一起人脸识别技术应用相关纠纷,于11月20日公开宣判。然而,由于关于认定人脸识别、指纹识别相关格式条款无效的请求被驳回,且原告认为法院判决中人脸信息处理合法、正当、必要原则相关解释不够合理,原告虽然获得了部分胜诉,却仍决定继续上诉。
原告对人脸信息收集合法性问题的严肃态度,与该案在社会上受到的广泛关注,反映出了公众对人脸信息隐私与安全问题的重视,及这一问题在法律层面得到回应或解决的迫切性。
此前,于2020年10月1日正式实施的2020年版《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《2020安全规范》”)即在多个条文中着重强调了对于“生物识别信息”的安全要求,我们也随之更加频繁的接到人脸数据处理合法合规问题相关咨询。
讨论人脸照片与个人生物识别信息处理合规时,我们在讨论什么?
人脸识别应用中相关方关心的问题通常是“处理人脸照片的合法合规性”。随着这一问题来到法律服务者面前的最直接概念是“人脸照片”,而客户最关心的问题则是:处理“人脸照片”是否受到超出一般个人信息保护要求范畴的、针对“个人生物识别信息”的特别规制。
然而,人脸照片并不是一个法律术语,将人脸照片直接归类为“个人生物识别信息”并不妥当,针对“个人生物识别信息”的规定也不一定完全适用于相关数据处理行为的合规性评估。人脸照片法律性质的具体判断是相关数据处理行为合规性评估的基础,本文尝试在这一问题上做一些探讨,谈谈我们的三点判断。这三点判断并非法律明文规定,属于根据相关法律与事实得出的推论,希望在个人生物识别信息相关规定不够明晰的情况下供读者参考并衡量对人脸照片及其他各类人脸数据应施以何种程度的保护。
判断一:“人脸照片”与个人生物识别信息中的“面部识别特征”概念无交叉,“面部识别特征”是通过处理“人脸照片”产生的“新”个人信息。
根据《2020安全规范》附录A,“个人生物识别信息”包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”。上述列举的个人生物识别信息中与我们要解决的人脸数据问题最相关的概念是“面部识别特征”。
那么,“面部识别特征”与“人脸照片”两个概念的关系什么呢?《2020版安全规范》没有对“面部识别特征”的概念做进一步规定。因此,为解决这一问题,笔者进行了两个方面的研究:(1)人脸识别技术应用的大致流程;(2)境外相关立法。基于研究情况笔者认为“面部识别特征”与“人脸照片”两个概念并不等同,“人脸照片”(即使是能够提取出面部识别特征的合格图像)与“面部识别特征”二者关系为无任何交叉。
1. 根据人脸识别技术应用的流程,“面部识别特征”通过对“人脸照片”进行处理产生,二者为彼此独立的客观存在(此判断不否认二者在逻辑上的关联性)
(1) 人脸识别的应用流程
采集原始人脸照片后,到人脸比对完成之间存在一系列中间步骤,需要对人脸照片进行多项处理(例如图片预处理、人脸校正等)。非营利机构Partnership on AI在《理解面部识别系统》一文中将这一系列步骤简化概括为“人脸检测”(facial detection)。通过人脸检测能够得出:1、图片中是否有人脸;2、面部特征的定位(landmarks,landmarks也可以被用于确定人脸在图片中的位置和方向)。[1]
对人脸照片进行一系列处理后能够提取出面部特征,存储为特征模板,最终用于人脸识别比对的是关于提取出的面部特征的数字模板(digital templates)——数字化展示特定人脸中特征的数字列表,而非比对人脸照片本身。[2]2020年《加州人脸识别技术法案》定义部分也提及“特征模板”的类似概念“面部模板”。[3]
通过上述人脸比对应用逻辑,我们不难得出结论:上文反复提到的、从人脸照片中提取出并最终使人脸比对得以实现的“面部特征”与《2020版安全规范》中所载“面部识别特征”是相对应,或者相等同的概念。并且,自“面部识别特征”从人脸照片中被提取出起,其与人脸照片在客观上已经是两项不同的存在了。
2. 参照境外相关立法,照片或者图片(image)被排除在“面部识别特征”或其他类似概念范畴外
部分境外立法明确将人脸照片排除在“生物识别特征”范畴外(不等于将人脸照片排除在“个人生物识别信息”范畴外):
(1) 美国2020年8月颁布的《2020国家生物信息隐私法案》规定,生物识别符包括任何衍生于照片的“脸纹(faceprint)”(including any faceprint derived from a photograph),但不包括照片本身;[4]
(2) 美国华盛顿州《生物识别符》规定生物识别符是指通过自动测量方式所获得的个人的生物学特征(例如指纹、声纹、眼视网膜、虹膜或其他用于识别特定个体的独特生物学特征)而生成的数据,不包括物理或数字照片、视频记录、音频记录或由此产生的数据;[5]
(3) 美国伊利诺伊州《生物信息隐私法案》(Biometric Information Privacy Act, 简称“BIPA”)规定“生物信息”(biometric information)指基于生物标志符得到的信息,而“生物标识符”(biometric identifier)包括对“脸部几何结构扫描”。上述“脸部几何结构扫描”显然与原始“人脸照片”并非同一概念,而是对人脸照片进行技术处理得到的新数据。根据上述规定,原始人脸照片并不在BIPA的所保护的“生物信息”、“生物标识符”范畴内。[6]
因此,根据人脸识别技术应用流程与境外相关立法,“人脸照片”与“面部识别特征”两个概念之间不存在重叠或者交叉部分。“面部识别特征”属于通过原始个人信息处理(如原始人脸照片)产生的,因能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,仍落入个人信息范畴的“新”个人信息。
判断二:虽然“人脸照片”不属于“面部识别特征”这一特定类型信息,但在中国法语境下若该图片1)可提取个人生物识别信息;2)将用于进行个人身份识别、认证等功能,则应落入 “个人生物识别信息”范畴。
《2020安全规范》附录A列举的几项个人生物识别信息仅为示例作用,即使某类信息不属于“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征”中一项时,该类信息仍可能属于“个人生物识别信息”。因此,虽然根据判断一中讨论,“人脸照片”不属于《2020安全规范》所明确列举的个人生物识别信息类型,但“人脸照片”仍可能属于“个人生物识别信息”。
《2020安全规范》的一些条文细节也向我们传达出“人脸照片”满足一定条件时属于“个人生物识别信息”的信号。例如《2020安全规范》6.3(c)原文为“原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于……3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。”
根据上述规定,满足以下条件的原始人脸照片(原始图像)应属于个人生物识别信息1)可提取个人生物识别信息;2)将用于进行个人身份识别、认证等功能。
欧盟《一般数据保护条例》(GDPR)的相关规定没有将面部图像排除在生物识别数据(biometric data)范畴外,且面部图像构成生物识别数据的条件与《2020安全规范》类似。GDPR第4条(14)规定:“生物识别数据是指对自然人的身体,生理或行为特征进行特定技术处理产生的个人数据……例如面部图像……”;GDPR叙文第51条指出,“处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据”。
判断三:“人脸照片”不直接落入“个人生物识别信息”范畴时,不代表“人脸照片”不属于“个人信息”,“人脸照片”根据具体情况可能属于一般的个人信息,也可能属于个人敏感信息
以判断二为基础,当人脸照片因照片质量等原因不可提取出面部识别特征,或使用目的并非是进行身份识别、认证时,人脸照片可能不属于“个人生物识别信息”。然而,即使人脸照片因上述情形不属于“个人生物识别信息”,仍可能在一定情况下属于“个人信息”,甚至是“个人敏感信息”。
例如,假设自然人A在某社交平台设置了一个仅自己可见的私密相册,存储了一批面部照片,这些照片都只露出部分面孔或清晰度极低,单个照片并不符合人脸识别技术应用所需照片的标准,自然人A存储这些照片的目的也不是进行身份识别、认证。但在上述情形下,这一私密相册中照片的性质仍属于个人信息,甚至可能属于个人敏感信息,原因如下:(1)可能属于个人信息:微博大部分用户已经过实名认证,对于微博运营方而言用户A属于“已知特定自然人”,该特定自然人在活动中产生的信息,例如相册中的面部照片,根据《2020安全规范》附录A所载个人信息判定的“关联标准”属于个人信息[7];(2)可能属于个人敏感信息:自然人A为非公众人物(不考虑公众人物隐私权限制司法保护等类似问题),A在私密相册这一显然不愿意为外人所知的私人领域中存放了多张面部贴有LGBT贴纸、透露了性取向的照片。此类面部照片涉及个人隐私,根据《2020安全规范》附录B通常属于个人敏感信息。[8]
因此,即使在“人脸照片”因照片质量、使用目的等因素可能不属于“个人生物识别信息”的情况下,我们仍建议相关信息控制者、处理者对人脸照片的保护标准最低与一般个人信息的保护标准持平,并根据实际业务性质、业务开展情况尽量将对人脸照片的保护标准向“个人敏感信息”,甚至“个人生物识别信息”靠拢。
最后,以图示的方式概括下上述三个判断:
结语:
相关法律规定与国家标准采取概括加列举的方式为个人信息认定提供了一定程度的指引,但在实践中对业务涉及的个人信息作进一步分类并予以恰如其分的保护仍有一定难度,本文讨论的人脸照片法律性质辨析既是典型例子。然而,随着个人信息安全与保护相关法律法规的日渐细化、全面,相关数据法律性质的判断是企业制定数据管理与保护策略的重要基础。企业除了界定相关数据是否是个人信息外,还需要具体判断数据具体属于何种个人信息,才能够准确识别各类数据应符合的具体合规要求。借本文,除探讨人脸照片法律性质这一特定问题,也希望提示企业在数据管理与保护过程中始终重视数据法律性质判断这一合规基础工作,以保证对合规要求的全面识别、数据保护策略的精准有效。
作者简介:王渝伟律师毕业于西南政法大学、华东政法大学,获得法学学士及硕士学位。王律师是国内最早专注于网络安全、数据合规法律研究及服务的律师,对于网络安全保护与数据合规相关法律风险有深刻的理解。长期为大数据、区块链、人工智能、网络安全、移动互联网、金融科技、云计算等领域的国内外企业提供网络安全、数据信息管理保护、隐私保护体系建设、数据公开、网络安全、征信、信息安全等级保护、数据跨境转移等方面的综合解决方案,协助企业了解法律政策、应对合规风险,并帮助上述领域企业完成融资、处理经营中的其他法律问题。
Email: wangyw@guantao.com
作者简介:李思筱律师,毕业于南京大学、美国乔治城大学法学院,获得法学学士、国际商事和经济法法学硕士学位。主要执业领域为网络安全、数据合规与个人信息保护、数据不正当竞争、TMT、民商事争议解决等。曾为多家金融科技、人工智能、生命科学、大数据等领域的科技型企业,及银行、保险、能源等传统行业客户提供数据合规服务,包括开展尽职调查、合规差距分析、出具合规风险提示备忘录、出具合规法律意见书、设计合规方案并协助方案落地、提供合规咨询等。
Email:lisx@guantao.com
[1] Understanding Facial Recognition System, February 19, 2000, Paternership on AI,P5.
[2] Understanding Facial Recognition System, February 19, 2000, Paternership on AI,P6.
[3] 2019 Bill Text CA A.B. 2261, amended on May 12, 2020.
[4] National Biometric Information Privacy Act of 2020, 116 S. 4400,Section 2 (1).
[5]Revised Code of Washington, Wash. Rev. Code Ann. § 19.375.010.(1).
[6] Biometric Information Privacy Act, 2007 ILL. SB 2400, Section 10. Definitions, 根据伊利诺伊州的规定,生物信息基于生物识别符得到,人脸照片首先不属于生物识别符,因此也不属于生物信息。这样的规定与我国目前的规定可能并不一致,根据《2020版安全规范》,人脸照片虽然不是生物识别特征,但仍然有属于个人生物识别信息的可能。
[7] 《2020安全规范》,附录A 个人信息示例,“判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。”需说明的是,此处对关联标准的适用,不是对个人信息应能够“识别”个人这一本质的忽略,笔者认为示例中私密相册照片构成个人信息还基于以下思考:虽然单个面部图片可能无法达到识别个人的作用,但面部图片达到一定数量的情况下是否仍可能识别到个人呢?
[8] 《2020安全规范》,附录A 个人敏感信息判定,“通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。”